09 mrt '23
Bij de invoering van de Algemene Verordening Gegevensbescherming (AVG), nu bijna vijf jaar geleden, bestond veel ophef over de ruime mogelijkheid die de Autoriteit Persoonsgegevens (AP) heeft gekregen om boetes uit te delen wanneer de AVG wordt overtreden. Met name het feit dat deze boetes op kunnen lopen tot astronomische bedragen zorgde voor veel onrust bij organisaties, die de AVG (mede) daardoor wel serieus móésten nemen. In de praktijk is inmiddels gebleken dat de AP van deze bevoegdheid ook daadwerkelijk gebruik maakt en dus (hoge) boetes oplegt. De hoogste boete die de AP tot nu toe heeft opgelegd, is een boete aan de belastingdienst ten bedrage van EUR 3.700.000,-.
Een andere reden waarom een organisatie financiële consequenties kan ondervinden wanneer de AVG wordt overtreden, is doordat betrokkenen (degenen van wie persoonsgegevens worden verwerkt) schade lijden door de overtreding van de AVG en deze schade op de verwerkende organisatie verhalen. Bij dergelijke schadeclaims kan dan nog wel de vraag worden gesteld, of betrokkenen wel daadwerkelijk schade lijden en zo ja, hoe die schade dan moet worden begroot.
In dit blog zal worden ingegaan op de vragen wanneer betrokkenen aanspraak kunnen maken op schadevergoeding in verband met de overtreding van de AVG en welk bedrag aan schadevergoeding een organisatie dan verschuldigd zal zijn. Tot slot zal worden stilgestaan bij de vraag of, mede gelet op de beantwoording van de hiervoor gestelde vragen, organisaties zich grote zorgen zouden moeten maken over mogelijke schadeclaims van betrokkenen.
Wanneer een organisatie bij de verwerking van persoonsgegevens de AVG overtreedt, zal veelal sprake zijn van een inbreuk op de rechten van de betrokkenen. Omdat het recht op privacy een grondrecht is, is zelfs sprake op de inbreuk van een grondrecht van betrokkenen. Dat de belangen van betrokkenen geschaad zullen zijn is daarmee dus duidelijk. De vraag is echter, of de betrokkenen daardoor ook daadwerkelijk schade hebben geleden die voor vergoeding in aanmerking komt. In Nederland wordt namelijk enkel de daadwerkelijk geleden schade vergoed. En precies dat, dat er daadwerkelijk schade is geleden, is in het geval van een overtreding van de AVG vaak lastig hard te maken.
Dit is uiteraard niet altijd het geval. Wanneer persoonsgegevens zijn gestolen, waardoor vervolgens de bankrekening van een betrokkene kon worden geplunderd zal de schade vrij gemakkelijk aan te tonen zijn. Deze bestaat dan namelijk uit het bedrag dat eerst op de bankrekening van de betrokkene stond, dat die persoon nu kwijt is. Gaat het echter om informatie die op straat komt te liggen waarvan je liever had gewild dat deze privé was gebleven, bijvoorbeeld omdat je je ervoor schaamt, is het een stuk minder gemakkelijk om aan te wijzen dat er inderdaad sprake is van schade die voor vergoeding in aanmerking komt.
Om aan te tonen dat er sprake is van schade die voor vergoeding in aanmerking komt, dient de betrokkenen in de regel in zijn eer of goede naam te zijn geschaad of op andere wijze in zijn persoon te zijn aangetast. Hiervan is bij een overtreding van de AVG niet per definitie sprake. In de rechtspraak (die overigens veel inconsistentie vertoont) wordt over het algemeen aangenomen dat sprake moet zijn van bijkomende omstandigheden om aan te kunnen nemen dat betrokkenen inderdaad in hun eer of goede naam zijn geschaad of op een andere wijze in hun persoon zijn aangetast. Omstandigheden die daarbij relevant kunnen zijn, zijn bijvoorbeeld het type persoonsgegevens dat werd verwerkt (zo zal een inbreuk met betrekking tot gevoelige persoonsgegevens in de regel eerder aanleiding geven om schade aan te nemen) of de status van een specifieke betrokkene (een publiek persoon zal er bijvoorbeeld meer baat bij hebben om bepaalde informatie geheim te houden).
Betrokkenen maken dus in verschillende situaties zeker aanspraak op schadevergoeding na een inbreuk op hun privacy-rechten. De bottom-line is dat na een overtreding van de AVG niet per definitie voor alle betrokkenen een recht op schadevergoeding bestaat, maar dat daarvoor wel bijkomende omstandigheden vereist zijn.
De heer Manuel Campos Sánchez-Bordona, Advocaat Generaal bij het Europese Hof van Justitie, heeft zich in zijn conclusie in de zaak UI v Österreichische Post AG uitgelaten over de mogelijkheid om schadevergoeding te vorderen onder de AVG. In zijn conclusie overwoog hij dat enkel een inbreuk op de AVG onvoldoende is om schade bij de betrokkenen aan te nemen en dat “loutere ergernis” als gevolg van een inbreuk op de AVG niet kan leiden tot schadevergoeding. Ook deze AG lijkt dus niet geneigd te zijn snel schadevergoeding toe te kennen voor inbreuken op de AVG.
Wanneer is vastgesteld dat een betrokkene schade heeft geleden, dient uiteraard nog vastgesteld te worden hoe hoog die schade dan is geweest. Bij een leeggeroofde bankrekening zal het wederom niet erg lastig zijn dit vast te stellen. Maar bij schade die niet van materiële aard is zal dit wederom een stuk lastiger zijn. Want het bedrag dat aan een dergelijke inbreuk wordt gehangen, moet door een rechter worden bepaald.
In de praktijk zien wij dat de bedragen die worden vergoed aan betrokkenen vaak (relatief) beperkt zijn. Een schadevergoeding van ongeveer EUR 500,- is niet uitzonderlijk laag en schadevergoedingen boven de EUR 2.000,- komen nauwelijks voor. Al met al is de rechter dus over het algemeen niet geneigd om hoge schadevergoedingen toe te wijzen aan betrokkenen.
Vooropgesteld: elke organisatie dient zich uiteraard zoveel mogelijk aan de wet en AVG te houden. Niet alleen vanwege het risico op financiële consequenties wanneer dit niet gebeurt (immers, ook wanneer de conclusie zou luiden dat schadevergoedingen geen reden zijn tot paniek, is er altijd nog de mogelijkheid dat een boete wordt opgelegd), maar ook vanuit de overweging dat ieders grondrechten hoe dan ook gerespecteerd dienen te worden.
Hoewel er dus een behoorlijke drempel is voor betrokkenen, namelijk dat zij moeten aantonen dat zij schade hebben geleden door de overtreding van de AVG en dat de toegekende schadebedragen vaak aan de lage kant zijn, vormt de aansprakelijkheid na een overtreding van de AVG toch een behoorlijk risico. In de praktijk is het namelijk mogelijk om een collectieve actie te starten naar aanleiding van een overtreding van de AVG. Betrokkenen kunnen zich dan verenigen en gezamenlijk een claim indienen. Het behoeft daarbij geen toelichting dat wanneer een grote groep betrokkenen aanspraak maakt op een klein bedrag aan schadevergoeding, alsnog sprake zal zijn van een flink financieel gevolg voor de aangesproken organisatie.
Tot slot blijft het niet alleen bij de te betalen schadevergoeding zelf. Daarnaast moet ook rekening worden gehouden met de proceskosten die in het kader van de claim worden gemaakt.
Naast de boetes van de AP, kunnen ook claims van betrokkenen naar aanleiding van een overtreding van de AVG een flinke kostenpost opleveren. Voorkomen is daarom ook in dit geval beter dan genezen. Wij helpen uiteraard graag bij het voorkomen van dergelijke claims. Maar als het zover is, dan kunnen wij u uiteraard ook bijstaan in het verweer daartegen. Wilt u uw privacy-zaken op orde brengen, of hulp bij een reeds ontvangen claim? Neem dan contact op met privacy@ploum.nl.
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
14 okt 24
13 okt 24
09 okt 24
07 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.